返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
防火墙PIX、NETSCREEN、ASA功能比较
2010-02-07 网络 / 网络
一、
功能比较
从以下八个方面对PIX、NETSCREEN和ASA防火墙功能做一功能描述和比较:

1、
内网安全领 域主动访问外网及DMZ非安全领 域
PIX防 火墙:通过定义区域的安全优先级来实现高安全优先级对低安全优先级的主动任意访问。
NETSCREEN防火墙:通过区域策略实现安全区域对非安全区域的主动访问。
ASA防火墙: 通过定义区域的安全优先级来实现高安全优先级对低安全优先级的主动访问,但ICMP需要双相开通相应策略。

2、
外网对内网及DMZ区提供的专项服务的访问。
PIX防火墙:通过静态映射(static)和策略(conduit) 来实现外网对内网及DMZ专项服务的访问限制。
NETSCREEN防火墙:通过对外网端口MIP和访问策略(set policy)来实现外网对内网及DMZ专项服务的访问限制。
ASA防火墙: 通过静态映射(static (inside,outside))和策略(access-list)来实现外网对内网及DMZ专项服务的访问限制。

3、
内网地址转换
PIX防火墙:通过映射命令(net、global)来实现内网地址的 转换。
NETSCREEN防火墙:通过对外网端口MIP、VIP和DIP实现内部地址的 转换。
ASA防火墙:通过映射命令(net、global)来实现内网地址 的转换。
对于 同一个地址访问不同目的地时所转换地址不同的应用需求,ASA使用策略NAT实现:
access-list inside_pnat_outbound_V1 extended permit ip host 2.6.6.7 host 2.6 .5.218
nat (inside) 38 access-list inside_pnat_outbound_V1
access-list inside_pnat_outbound extended permit ip host 2.6.6.7 host 2.6.5.35
nat (inside) 35 access-list inside_pnat_outbound

4、
策略的定义
PIX防火墙:通过策略命令(conduit)来定制访问策略,实现 Ip及端口的访问限制。
NETSCREEN防火墙:通过对访问策略(set policy)实现Ip及端口的访问限制。
ASA防火墙:通过策略命令(access-list)来定制访问策 略,实现Ip及端口的访问限制。
5、
路由的实现
PIX防火墙:通过route outside 、route inside来实现内外网的访问路由。
NETSCREEN防火墙:通过set route来实现内外网的访问路由。
ASA防火墙:通过route outside 、route inside来实现内外网的访问路由。
6、
管理地址的定义
PIX防火墙:通过telnet来实现管理地址的指定。
NETSCREEN防火墙:通过绑定到端口的manager IP来实现管理地址的制定。
ASA防 火墙:通过绑定到端口的manager IP来实现管理地址的制定。可以是MGMT端口,也可以定义为inside口、outside口或DMZ口。
7、
防火墙备份的实现
PIX防火墙:通过failover来实现硬件冗余。
NETSCREEN防火墙:通过定义NSRP集群和VSD组来实现硬件冗余。
ASA防火墙:通过failover定义来实现硬件冗余。
8、
防火墙配置的备份和恢复。
PIX防火墙:通过命令erase all即可删除防火墙上所以配置,使其恢复到出厂设置状态。通过在命令行内直接粘贴备份的配置文件即可自动恢复配置。
NETSCREEN防火墙:在非HA模式下,通过命令unset all即可删除防火墙上所以配置,使其恢复到出厂设置状态。通过在命令行内直接粘贴备份的配置文件即可自动恢复配置。
ASA防火墙:通过命令erase all即可删除防火墙上所以配置,使其恢复到出厂设置状态。通过在命令行内直接粘贴备份的配置文件即可自动恢复配置。
二、具体配置对照表如下:
序列
 
功能说明
 
PIX配置
 
NETSCREEN配置
 
ASA配置
 
1
 
定义区域
 
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security80

 
set interface "ethernet1" zone "Trust"
set interface "ethernet2" zone "DMZ"
set interface "ethernet3" zone "Untrust"
 
在接口状态下配置:interface GigabitEthernet0/1

nameif DMZ


security-level 30


ip address 2.6.7.1 255.255.255.0

 
2
 
HA failover
failover timeout 0:00:00
failover ip address outside 2.16.253.4
failover ip address inside 2.6.1.82
failover ip address dmz 2.16.1.130
failover ip address wan 2.16.1.4
 
set nsrp cluster id 1
set nsrp rto-mirror sync
set nsrp vsd-group id 0 priority 100
set nsrp monitor interface ethernet1
set nsrp monitor interface ethernet3
 
failover

failover lan unit primary

failover lan interface HA GigabitEthernet0/3

failover mac address GigabitEthernet0/1 0018.1900.5000 0018.1900.5001

failover mac address GigabitEthernet0/2 0018.1900.6000 0018.1900.6001

failover mac address Management0/0 0018.1900.7000 0018.1900.7001

failover mac address GigabitEthernet0/0 0018.1900.4000 0018.1900.4001

failover link HA GigabitEthernet0/3

failover interface ip HA 60.60.60.1 255.255.255.0 standby 60.60.60.2

 
3
 
日志
 
logging trap critical
logging facility 20
logging host inside 2.6.1.2
 
set syslog config "2.6.1.253" "local0" "local0" "debug"
set syslog enable
set syslog traffic
 
logging trap critical
logging facility 20
logging host inside 2.6.1.2
 
4
 
端口区域绑定和IP定义
 
ip address outside 2.16.253.3 255.255.255.0
ip address inside 2.6.1.81 255.255.255.0
ip address dmz 2.16.1.129 255.255.255.128
 
set interface "ethernet1" zone "Trust"
set interface "ethernet2" zone "DMZ"
set interface "ethernet3" zone "Untrust"
set interface ethernet1 ip 2.6.1.81/24
set interface ethernet2 ip 2.16.1.129/28
set interface ethernet3 ip 2.16.253.3/24
set interface ethernet3 route
 
interface GigabitEthernet0/0

nameif outside


security-level 0


ip address 2.6.5.216 255.255.255.0

 
5
 
内网到外网允许访问
 
nat (inside) 0 0.0.0.0 0.0.0.0 0 0
 
set policy id 4 name "ANY1" from "Trust" to "Untrust"
"Any" "Any" "ANY" Permit

 
access-list inside_access_in extended permit ip any any
 
6
 
静态映射
 
static (inside,outside) 2.16.1.38
2.6.2.38 netmask 255.255.255.255 0 0

……..
 
set interface "ethernet3" mip 2.16.1.38 host 2.6.2.38 netmask 255.255.255.255 vr "trust-vr"
 
static (inside,outside) 2.6.5.215 2.6.6.6 netmask 255.255.255.255
 
7
 
策略
 
conduit permit tcp host 23.168.1.38 eq telnet host 2.16.253.55
 
set policy id 6 name "U-T ICMP" from "Untrust" to "Trust"
"2.16.253.55/32" "MIP(2.16.1.38)" "TELNET" Permit

 
access-list DMZ_access_in extended permit tcp host 2.6.7.11 eq ftp host 2.6. 6.7 eq ftp
 
8
 
路由
 
route outside 0.0.0.0 0.0.0.0 2.16.253.8 1
 
set route 0.0.0.0/0 interface ethernet3 gateway 2.16.253.8 1
 
route outside 0.0.0.0 0.0.0.0 2.6.5.1 1
 
9
 
SNMP snmp-server host inside 2.6.1.253
snmp-server location XianWailian
snmp-server contact FangHaitao
snmp-server community 111
snmp-server enable trap
 
set snmp community "INSIDE" Read-Write Trap-on traffic
set snmp host "INSIDE" 2.6.1.253 255.255.255.255
set snmp location "FangHaitao"
set snmp contact "XianWailian"
set snmp name "ns204"
 
snmp-server host inside 2.6.1.253
snmp-server location XianWailian
snmp-server contact FangHaitao
snmp-server community 111
 
snmp-server enable trap
 
10
 
TELNET
 
telnet 2.64.5.76 255.255.255.255
telnet timeout 10
 
set admin manager-ip
2.64.5.76 255.255.255.255

NETSCREEN
通过指定IP地址来限制可
telnet到防火墙的终端。
 
telnet 2.64.7.0 255.255.255.0 DMZ
telnet 2.64.6.0 255.255.255.0 inside
 
相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读